Docker 1.3.2 发布:修复重大安全问题

  • 孙镜涛

2014 年 11 月 27 日

话题:安全语言 & 开发架构

Docker 无疑是当下最火的应用程序容器引擎,它彻底释放了虚拟化的威力,让应用的分发、部署和管理都变得非常地高效和容易。继 10 月份发布 1.3.0 之后时隔一个多月,其开发团队再次发布了 Docker 1.3.2。新版本最吸引人的地方就是它修复了 CVE-2014-6407 CVE-2014-6408 这两个重要的安全问题,另外新版本还解决了一些 Bug。

在之前的版本中,攻击者能够通过 Docker 容器的漏洞提高权限,在受影响的系统上远程执行代码,Docker 1.3.2 解决了这一问题,新版本在提取镜像的时候会对其进行额外的检查,同时所有的提取工作都会在一个对本地文件系统拥有有限访问权限的“chroot”沙箱环境中进行。但是需要注意的是:该问题并没有针对老版本 Docker 的补丁,如果想要解决这一问题,那么必须进行升级。另外,新版本也修复了攻击者可以在容器升级时将恶意安全选项应用到镜像的Bug,在 1.3.2 中应用到镜像的安全选项会被忽略。

守护进程方面,新版本改善并增强了 docker run 命令的 --insecure-registry 标记。主要的修复内容如下,如果想要获取更多的信息,可以点击这里

  • 用户现在可以通过设定一个子网为 Docker 指定不安全的 Registry 范围
  • 在默认情况下,新版本将“localhost”定义为不安全的 Registry
  • 用户可以使用无类别域间路由(Classless Inter-Domain Routing,CIDR)格式引用 Registry
  • 镜像被启用的时候会跳过试验性的 Registry v2 API

感谢郭蕾对本文的审校。

给 InfoQ 中文站投稿或者参与内容翻译工作,请邮件至editors@cn.infoq.com。也欢迎大家通过新浪微博(@InfoQ)或者腾讯微博(@InfoQ)关注我们,并与我们的编辑和其他读者朋友交流。

安全语言 & 开发架构